适用范围：本文件提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件和运维业务建立过程，给出了运维管理、识别、防护、监测分析、事件处置、协同和效果评估等网络安全运维主要工作环节实施内容。 本文件适用于网络安全运维提供方和需求方。用于网络安全运维的实施提供指导，并为网络安全运维需求方、第三方机构对网络安全运维实施效果和网络安全运维能力进行评估提供参考。

适用范围：本文件确立了依据GB/T 31168-2023开展评估的原则、实施过程，描述了针对各项具体安全要求进行评估的方法。 本文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，也为云服务商在进行自评估时提供参考。

适用范围：本文件提供了指导，以帮助组织： ——满足GB/T 22080—2025有关应对信息安全风险活动的要求； ——实施信息安全风险管理活动，特别是信息安全风险评估和处置。 本文件适用于所有组织，无论其类型、规模或领域。

适用范围：本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还规定了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的，适用于各种类型、规模或性质的组织。当组织声称符合本文件时，不接受排除第4章到第10章中规定的任何要求。

适用范围：本文件确立了信息系统灾难恢复工作原则，给出了信息系统灾难恢复生命周期，规定了信息系统灾难恢复应遵循的基本要求，描述了灾难恢复能力等级划分和测试评价方法。 本文件适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划设计、建设实施和运行管理等工作。

适用范围：本文件提供了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议。 本文件适用于数字水印技术的设计、开发、应用和测试。

适用范围：本文件规定了生成式人工智能服务在训练数据安全、模型安全、安全措施等方面的要求。 本文件适用于服务提供者开展生成式人工智能服务相关活动，也为相关主管部门以及第三方评估机构提供参考。 注： 训练数据及生成内容涉及的主要安全风险见附录A，生成式人工智能服务安全评估参考方法见附录B。

适用范围：本文件规定了生成式人工智能训练的数据标注平台或工具安全要求、数据标注规则安全要求、数据标注人员要求、数据标注核验要求，描述了数据标注安全评价方法。 本文件适用于生成式人工智能数据标注组织方开展训练数据标注活动，并为生成式人工智能数据需求方对于数据标注进行检查、验收或第三方机构对数据标注进行安全性评估提供参考。

适用范围：本文件描述了网络安全保险的目的和作用、主要角色和责任，给出了基本应用流程、保障事件类型和损失类型，提出了网络安全保险应用各阶段的方法。 本文件适用于组织购买和使用网络安全保险以及网络安全保险机构开展网络安全保险业务，应用网络安全保险的其他相关方参考执行。

适用范围：本文件规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求，描述了相应的评价方法。 本文件适用于生成式人工智能服务提供者开展预训练和优化训练数据处理活动以及安全自评估，也适用于第三方机构对预训练和优化训练数据进行安全性评估。

适用范围：本文件描述了数据安全风险评估的基本概念、要素关系、分析原理，给出了数据安全风险评估的实施流程、评估内容、分析评价方法等。 本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

适用范围：本文件确立了敏感个人信息识别和界定，规定了敏感个人信息处理通用安全要求和敏感个人信息处理特殊安全要求。 本文件适用于个人信息处理者开展敏感个人信息处理活动，也适用于监管部门和第三方评估机构对敏感个人信息处理活动进行监督、管理和评估。

适用范围：本文件规定了运维安全管理产品的安全功能要求、自身安全要求、安全保障要求及测试评价方法，并提出产品等级划分要求。本文件适用于运维安全管理产品的设计、研发、生产、服务、检测和认证。

适用范围：本文件规定了数据安全评估机构的能力要求，包括基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力。 本文件适用于数据安全评估机构自身能力建设，以及对数据安全评估机构的能力评价，也可为数据处理者选择第三方数据安全评估机构提供参考。

适用范围：本文件提出了政务数据处理安全框架，规定了安全制度规范要求、安全技术防护要求和安全运行管理要求。 本文件适用于规范政务部门和技术支撑机构的政务数据处理活动，以及主管（监管）部门、第三方机构进行监督管理和评估。

适用范围：本文件提出了基于个人信息的自动化决策的基本安全原则，规定了通用安全要求、算法安全要求、特征生成安全要求、决策安全要求和自动化决策典型场景特别安全要求。 本文件适用于开展自动化决策的个人信息处理者规范其算法开发、特征生成和决策活动，也适用于监管部门、第三方评估机构对自动化决策进行监督、管理和评估。

适用范围：本文件规定了网络关键设备可编程逻辑控制器安全功能要求和安全保障要求。 本文件适用于网络关键设备可编程逻辑控制器的研发、测试等工作。 注：网络关键设备指性能指标或规格符合《网络关键设备和网络安全专用产品目录》中规定范围的设备。

适用范围：本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督机构的设置、职责、工作规则，以及个人信息保护监督机构的成员等要求。 本文件适用于大型互联网企业建立和运行个人信息保护监督机构及监管、检查、评估等活动。

适用范围：本文件给出了一种无需请求证书撤销列表(CRL)即能查询数字证书状态的机制，即在线证书状态协议，包括在线证书状态协议的协议内容、语法规范。 本文件适用于公钥基础设施的建设以及基于在线证书状态协议的安全应用等。

适用范围：本文件规定了人工智能生成合成内容标识方法。 本文件适用于生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动。